Android : Google met fin au support de WebView dans les versions antérieures à KitKat
La sécurité de près d'un milliard de smartphones menacée

Le , par Michael Guilloux

100PARTAGES

4  0 

La sécurité de près d'un milliard de smartphones Android menacée


C'est surement une mauvaise nouvelle pour les utilisateurs d'Android qui exécutent des versions antérieures à Android 4.4 Kitkat et une bonne nouvelle pour les pirates qui auront plus de facilité.

Google a récemment pris la décision d'arrêter le développement de correctifs pour les bogues de WebView dans Android 4.3 Jelly Bean et les versions antérieures. Environ 60% des utilisateurs d'Android seront impactés par cette décision.

WebView permet aux applications d'afficher des pages Web sans avoir à ouvrir une autre application. De nombreuses applications et des réseaux publicitaires utilisent le composant. D'ailleurs, l'équipe Google Android préconise l'outil dans sa documentation pour les développeurs sur le rendu des pages Web.

Toutefois, WebView est aussi le vecteur privilégié pour mener des attaques par exécution de code distant dans le système d'exploitation mobile, selon le directeur de l'ingénierie de Rapid7, Tod Beardsley. Des failles de logiciels ont, à plusieurs reprises, été découvertes dans Android et WebView, rendant le manque de mises à jour encore plus dangereux.

Après avoir reçu un rapport d'une nouvelle vulnérabilité dans le WebView antérieur à 4.4 en octobre 2014, les gestionnaires d'incidents Android de Google ont déclaré que la société va laisser aux développeurs externes la tâche de développer des correctifs de sécurité, d'après Beardsley. « Si la version affectée [de WebView] est avant 4.4, nous ne développons généralement pas les patchs nous-mêmes, mais faisons bon accueil à des correctifs » qui prennent en compte les défauts reportés. « Nous ne sommes pas en mesure de mener des actions pour les défauts qui affectent les versions antérieures à 4.4 qui ne sont pas accompagnées d'un patch. »

Cela suppose que la prochaine fois qu'un chercheur ou un pirate trouvera une vulnérabilité dans WebView sur une version Android antérieure à Kitkat, Google ne va pas, lui-même, créer un patch pour la vulnérabilité. Cependant, si quelqu'un d'autre en développe, Google va intégrer ces correctifs dans le code Android Open Source Project. Google les donnera également aux fabricants de téléphones, mais c'est là que sa responsabilité s'arrête.


Android est open source, ce qui signifie techniquement que n'importe qui pourrait créer des patchs, mais les chances que ces correctifs soient distribués par les fabricants d'appareils comme Samsung sont minces, a ajouté Beardsley. La fin du support pour la plupart des utilisateurs d'Android pourrait donc augmenter le nombre d’attaques par téléchargements cachés sur Android.

Pour le directeur de l’ingénierie de Rapid7, la décision de supprimer le support de WebView pour les versions antérieures à Android Kitkat est suicidaire, mais elle trouve une explication dans les objectifs de Google. « Bien sûr, j'espérais qu’abandonner le support de 60% de votre base d'installation serait suicidaire, cependant nous y sommes », a-t-il dit.

Beardsley a ajouté que l’une des raisons pour lesquelles Google a décidé de ne plus fournir de correctifs de WebView pour Jelly Bean et les versions antérieures est que « la meilleure façon de s'assurer que les appareils Android sont en sécurité est de les mettre à jour à la dernière version d’Android », donc de passer par exemple à Android 5.0 Lollipop qui peine à convaincre. Il soupçonne, par ailleurs, que cette décision ait coïncidé avec la sortie de la dernière version d’Android.

Source : Tod Beardsley

Et vous ?

Que pensez-vous de la décision de Google ? Quelles pourraient en être les raisons ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 13/01/2015 à 23:16
La pluspart des mobiles n'étant de toutes façon jamais mis à jour, je ne vois pas ce que cela va changer pour les utilisateurs. Et les mobiles bénéficiant de mises à jour régulières par le constructeur... sont déjà au moins à 4.4
5  0 
Avatar de glad33bx
Membre régulier https://www.developpez.com
Le 26/01/2015 à 13:08
D'un côté, ils balancent des failles 0 days sur Windows & Mac, de l'autre ils nous disent : nous on corrige pas...

Mouai
5  1 
Avatar de MasterMbg
Modérateur https://www.developpez.com
Le 14/01/2015 à 15:28
Moi je trouve ça une façon de dire aux utilisateurs des téléphones produits par Google de passer à l'achat des nouveaux! Puis que, moi par exemple j'utilise le Galaxy NEXUS. Déjà je me sentais plus dans ma peau quand j'avais appris que Google aurait arrêté de produire des mises à jour du système donc mon phone devrait rester éternellement en version 4.3. Et aujourd'hui, j'apprends qu'il y aura plus jamais de patchs de sécurité pour WebView dans les versions antérieures à Android 4.4 Kitkat. Comme c'est contraignant...
3  0 
Avatar de Haseo86
Membre éclairé https://www.developpez.com
Le 26/01/2015 à 14:49
Google : quand une grande gueule hypocrite essaie de se faire passer pour un super héros.

Voilà, c'était mon coup de gueule du jour, la politique et la fausseté de cette entreprise me dégoûte.
4  1 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 26/01/2015 à 18:27
webview n'est qu'un exemple. Pourquoi webview serait-il le seul. Faudrait aussi pouvoir mettre à jour le SSL sans mettre à jour l'OS, pour les trous de sécurité SSL. Faudrait pouvoir mettre à jour l'écran de verrouillage, au cas où un malin puisse déverrouiller sans taper le code, .... Le problème de base c'est que les constructeurs ont bloqué les mises à jour de l'OS, et on peux les comprendre. Si demain une mise à jour de l'OS déconne sur un de leur appareil, c'est une chiée d'utilisateurs qui va défiler dans le bureau juridique du constructeur

Concernant webview, si les dev d'applications utilisant webview ont peur d'un détournement d'une faille de webview pour télécommander leur app, qu'ils fassent le connexion en https, histoire que personne ne puis manipuler le flux http. Et si c'est l'auteur de l'application qui essaie d'exploiter une faille webview.... Il aura plus vite fait de faire faire directement le travail par son application que d'utiliser webview pour ça.

Une tempête dans une verre d'eau selon moi
1  0 
Avatar de stailer
Membre chevronné https://www.developpez.com
Le 15/01/2015 à 18:10
Je suis un peu inquiet là :

Qu'en est-il des gens qui développent des applis avec Cordova pour IOS ou Android et qui utilisent justement le composant WebView pour afficher leur appli ?
Il n'y aura plus de support mais ce sera toujours intégré ? Ça continuera de fonctionner ? Ces applis seront davantage atteignables par des pirates ?
0  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 24/01/2015 à 11:26
Citation Envoyé par jipenunux Voir le message
changez d'OS prenez du libre firefox os par exemple !
jipe
Hooo, un troll sauvage, c'est rare. D'habitude ils sont tous domptés et étiquetés, mais là c'est un petit nouveau qui viens de naître. Allez, je te laisse comparer ce que tu viens de dire avec le marché.... Indice, le seul téléphone sous firefox OS est une bouse qui ne tiens même pas une journée d'autonomie....
0  0 
Avatar de jipenunux
Candidat au Club https://www.developpez.com
Le 24/01/2015 à 20:14
Citation Envoyé par tchize
Indice, le seul téléphone sous firefox OS est une bouse qui ne tiens même pas une journée d'autonomie....
bonjour tchize, un p'tit nouveau de 70 ans, qui suit developpez.com depuis pas mal de temps, mais effectivement nouvellement inscrit
bon, c'est sympa de s'entendre appelé comme ça pour firefox os j'en ai un et c'est sur les bases de son utilisation que je disait ça, et pas pour troller.
j'étais sous androide et c'est sympa quand tu vas sur ce lien https://maps.google.com/locationhistory/b/0/ tu retrouves tous tes positionnement date et heure à la centaine de mètres près, super sympa, merci Mr Google (android)
allez bon courage avec des téléphone chicos et chéros, qu'il faut changer tous les deux ans pour pouvoir s'en servir, et qu'on peut pirater sans problème.
libramicalement
jipenunux
0  0 
Avatar de nicroman
Expert éminent https://www.developpez.com
Le 25/01/2015 à 4:03
j'étais sous android et c'est sympa quand tu vas sur ce lien https://maps.google.com/locationhistory/b/0/ tu retrouves tous tes positionnement date et heure à la centaine de mètres près, super sympa, merci Mr Google (android)

Effectivement ça tient du troll là....
C'est assez normal quand on active l'historique des positions. Sans cet historique, aussi étrange que cela puisse paraître, ... tout disparaît.
Maintenant, c'est aussi grâce à cet historique que google-now permet de savoir (et il se trompe rarement) ou on s'est garé (et comment y aller le plus vite), ou encore proposer des "temps" d'itinéraire vers les lieux que l'ont fréquente le plus souvent.
Bon bref... alors hint: sans même activer d'historique bizarre, ou quoique ce soit, l'opengraph de facebook permet de retracer la position (avec moins de précision il est vrai) dans le temps d'une personne, rien qu'avec ses posts facebook !

Vous ne voulez pas être "suivi" ? désactivez la localisation.
Vous ne voulez pas donner des infos sur vous sur Internet ? Ne postez rien sur internet. Et d'ailleurs, n'y allez même pas !

Après c'est sur Firefox OS est libre... et vide.... comme en plus c'est du HTML5.... (oui là aussi c'est un troll).

0  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 26/01/2015 à 12:44
Citation Envoyé par jipenunux Voir le message
pour firefox os j'en ai un et c'est sur les bases de son utilisation que je disait ça, et pas pour troller.
Alors ton post est hors sujet (on parle d'android ici), il est non argumenté (juste faites ceci), il n'y a aucun rapport entre le fait que firefox OS soit libre et les trous de sécurité puisque le problème de base des mises à jour c'est l'équipementier, android est tout aussi libre que firefox OS. Donc oui, ton post est un gros troll velu
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web